EP1923810A2 - Method for granting data access permissions - Google Patents

Method for granting data access permissions Download PDF

Info

Publication number
EP1923810A2
EP1923810A2 EP07118706A EP07118706A EP1923810A2 EP 1923810 A2 EP1923810 A2 EP 1923810A2 EP 07118706 A EP07118706 A EP 07118706A EP 07118706 A EP07118706 A EP 07118706A EP 1923810 A2 EP1923810 A2 EP 1923810A2
Authority
EP
European Patent Office
Prior art keywords
data
access
user
access rights
identity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP07118706A
Other languages
German (de)
French (fr)
Other versions
EP1923810A3 (en
Inventor
Alexander Eisl
Roland Ferstl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG Oesterreich
Original Assignee
Siemens AG Oesterreich
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG Oesterreich filed Critical Siemens AG Oesterreich
Publication of EP1923810A2 publication Critical patent/EP1923810A2/en
Publication of EP1923810A3 publication Critical patent/EP1923810A3/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database

Definitions

  • the invention relates to a method for assigning access rights to data which are stored in at least one data memory and can be read out on request of a user connected to the data memory via a computer network in dependence on his access right and possibly modified, according to the preamble of claim 1.
  • a system administrator who is also referred to as an administrator, is responsible in a conventional manner.
  • the administrator assigns access rights for certain data in order to allow only the members of a project group access to project-related data, for example, or the members of a specific company department to access parts of the company data memory.
  • the access rights can refer to a specific person or to a specific computer.
  • a person can also have different access rights to different areas of a data store, for example when working on several projects. Therefore, one speaks in these cases of "role-specific" access rights.
  • the different possibilities ie physical person, computer or role, but always referred to as "user".
  • the access rights are usually subject to changes, which are to be managed by the administrator, mostly by means of so-called "administrator tools", ie corresponding software programs that redistribute or change Allow access rights.
  • administrator tools ie corresponding software programs that redistribute or change Allow access rights.
  • access rights to data subsets for particular users are determined by the administrator depending on the operational need. The administrator makes the appropriate system settings, and then notifies the requester of the changes made.
  • the font EP 1 122 629 A2 describes generally a method for access control to a storage device, in which a plurality of groups having access to the storage device and a plurality of pools of storage devices are defined and then access rights to the respective pools of storage device are determined for the respective groups. However, it does not deal with different roles such as administrator, data owner, user, etc.
  • Claim 1 relates to a method for assigning access rights to data which are stored in at least one data store and, on request of a user connected to the data store via a computer network, can be read out and possibly changed as a function of his access right.
  • the data has at least one data subset, to each of which a data controller is assigned, and the granting or rejecting of the access right occurs when requesting data from a data subset by the respectively assigned data controller.
  • the request of a user for data is carried out via an identity and access management unit, in which for the respective user his assigned access rights are stored, the identity and access management unit upon request for data from one of the data subsets an electronic notification to the relevant data subset assigned data owner sends.
  • the data controller is most familiar with the nature of the data and its association with particular users, and therefore knows its purpose and potential Confidentiality conditions best. This increases the data security and the purposeful assignment of access rights.
  • the administrator whose tasks can be focused on the general system support, on the allocation of access rights to data outside of the data responsible for data subsets and the care of the data controller itself can be relieved. It would also be conceivable within the scope of the invention to dispense with the allocation of access rights to a physical administrator, and to administer the allocation of other access rights automatically.
  • notification of the relevant data controller can also advantageously be effected in all cases of a data request, or only in those cases where a request concerns data for which the user in question does not yet have access rights.
  • One possibility of the notification is in the form of an e-mail, for example, which is automatically created and sent by the identity and access management unit, and provides the relevant data controller with information about the user concerned, his assigned tasks, his current access rights and his data request ,
  • an access right can be granted or denied by the relevant data controller, it being possible, for example, to provide for the issuing or rejection of the access right by the data controller by changing the access rights stored in the identity and access rights for the respective user Access management unit.
  • a procedure can be ensured in which, for example, in the case of subsequent requests from the same user, no further notification is made to the responsible person. His right to access is permanently granted.
  • the granted access right is assigned only temporarily, ie expires after a predetermined time has elapsed. Such an operation may well be automated, so that after a predetermined period of time, the access rights of the user in question are reset to the initial status.
  • an electronic notification to the user may be made by modifying the access rights stored in the identity and access management unit for the respective user. This can in turn be done by e-mail, which informs the user about granted or revoked access rights.
  • the data requests of a user as well as the assignment and the rejection of access rights are made by the data controller via a web server.
  • the identity and access management unit may be via a common platform for the user and the data owners, each accessible via a communication network.
  • the web server will be conveniently connected to a mail server for the exchange of electronic messages, for example, to allow the electronic creation and sending of e-mails, as well as the management of sent and received e-mails.
  • FIGS. 1-5 show an embodiment of the method according to the invention as a web application.
  • Central element here is an identity and Access management unit 3, which can be accessed by a user 2 via a web server.
  • the identity and access management unit 3 contains the user profiles, that is information about the users 2 involved and the roles assigned to them in groups of users 2 in order to identify requesting users 2.
  • the identity and access management unit 3 includes folder permissions management for user 2 access rights, keeping lists of files of the data memory 1 in which the data D is organized, as well as current access rights of the users 2.
  • These Management functions will also include configuration files that specify, for example, predetermined expiration times, the conditions for sending notifications, and other system settings.
  • the identity and access management unit 3 will for this purpose be connected to a mail server for sending electronic messages.
  • the management features can also provide automated capabilities for reporting data requests and changing access rights.
  • the identity and access management unit 3 may also include "user directories", ie directories about the access of the user 2 to the identity and access management unit 3.
  • LDAP Lightweight Directory Access Protocol
  • a user 2 initially formulates a request for data D of the data memory 1, for example with the aid of an input mask on a web server, which is subsequently directed to the identity and access management unit 3 (FIG. 1).
  • the identity and access management unit 3 starts processing the request.
  • it identifies the user 2 and checks its access rights to the requested data D, for example, the data subset D.1 are assigned.
  • a task manager can be used in a conventional manner, which monitors the running programs or processes and logs them using a log file.
  • the Task Manager can also perform these functions in cooperation with a conventional Mail Manager.
  • the identity and access management unit 3 determines the data responsible person responsible for the data subset D.1 V.1, and causes an automated creation of an electronic notification to the data controller V.1, about information about the requesting user 2 and the their assigned roles in groups of users 2, as well as the requested data D (FIG. 2).
  • the person responsible for data V.1 now decides on the assignment of corresponding access rights to the requested data D, and if necessary makes corresponding changes to the access rights for the relevant user 2 in the identity and access management unit 3 (FIG. 3).
  • a query function can be provided, with which the identity and access management unit 3 requests confirmation and possibly justification of the rejection.
  • a task manager can in turn monitor this process and log accordingly.
  • the granting of access rights by the data controller V.1 and their allocation by the identity and access management unit 3 is expediently monitored and logged by a task manager.
  • the identity and access management unit 3 determines the change of access rights for the user 2, updates the corresponding settings in the folder permission management and the user directory, and subsequently causes the creation of an electronic notification to the user 2, in which he his updated access rights will be informed.
  • the notification of the user 2 together with the corresponding justification will be expedient both when granting an access right and when refusing an access right.
  • the user 2 is now authorized to access the requested data D (FIG. 5), wherein the data D of the data memory 1 will expediently be stored on a file server. His authorization may have been issued permanently, or only temporarily, so after a predetermined time expire again.

Abstract

The method involves storing data, which have data subsets (D.i) assigned to data owner (V.i). Requisition for the data is made by a user (2) using an identity and access management unit (3), and access authorization for the user is stored in a data memory (1). Granting or denying of the access authorization to the data is implemented during requisition of the data. An electronic notification e.g. electronic mail, is transmitted to the data owners, by the unit during requisition of the data.

Description

Die Erfindung betrifft ein Verfahren zur Vergabe von Zugriffsrechten auf Daten, die in zumindest einem Datenspeicher gespeichert sind, und auf Anfrage eines mit dem Datenspeicher über ein Computernetzwerk verbundenen Benutzers in Abhängigkeit seines Zugriffsrechts ausgelesen und gegebenenfalls verändert werden können, gemäß dem Oberbegriff von Anspruch 1.The invention relates to a method for assigning access rights to data which are stored in at least one data memory and can be read out on request of a user connected to the data memory via a computer network in dependence on his access right and possibly modified, according to the preamble of claim 1.

Zur Vergabe von Zugriffsrechten ist in herkömmlicher Weise ein Systemverantwortlicher zuständig, der auch als Administrator bezeichnet wird. Der Administrator vergibt hierbei für bestimmte Daten Zugriffsrechte, um auf diese Weise etwa nur den Mitgliedern einer Projektgruppe Zugriff auf projektrelevante Daten zu ermöglichen, oder den Angehörigen einer bestimmten Firmenabteilung Zugriff auf Teile des Firmendatenspeichers. Die Zugriffsrechte können sich dabei auf eine bestimmte Person, oder auch auf einen bestimmten Computer beziehen. Eine Person kann dabei auch auf unterschiedliche Bereiche eines Datenspeichers unterschiedliche Zugriffsrechte besitzen, etwa wenn sie an mehreren Projekten arbeitet. Daher spricht man in diesen Fällen auch von "rollenspezifischen" Zugriffsrechten. Im Folgenden werden die unterschiedlichen Möglichkeiten, also physische Person, Computer oder Rolle, jedoch stets als "Benutzer" bezeichnet.In order to grant access rights, a system administrator, who is also referred to as an administrator, is responsible in a conventional manner. The administrator assigns access rights for certain data in order to allow only the members of a project group access to project-related data, for example, or the members of a specific company department to access parts of the company data memory. The access rights can refer to a specific person or to a specific computer. A person can also have different access rights to different areas of a data store, for example when working on several projects. Therefore, one speaks in these cases of "role-specific" access rights. In the following, the different possibilities, ie physical person, computer or role, but always referred to as "user".

Die Zugriffsrechte sind in der Regel Änderungen unterworfen, die vom Administrator zu verwalten sind, zumeist mithilfe so genannter "Administratortools", also entsprechende Softwareprogramme, die eine Neuverteilung bzw. Änderung von Zugriffsrechten erlauben. In der Praxis werden auf konkrete Anfrage etwa eines Benutzers oder eines Projektverantwortlichen Zugriffsrechte auf Datenteilmengen für bestimmte Benutzer je nach betrieblicher Notwendigkeit vom Administrator festgelegt. Der Administrator nimmt die entsprechenden Systemeinstellungen vor, und meldet daraufhin der anfragenden Person die vollzogenen Änderungen.The access rights are usually subject to changes, which are to be managed by the administrator, mostly by means of so-called "administrator tools", ie corresponding software programs that redistribute or change Allow access rights. In practice, upon specific request from, for example, a user or a project owner, access rights to data subsets for particular users are determined by the administrator depending on the operational need. The administrator makes the appropriate system settings, and then notifies the requester of the changes made.

Eine solche Vorgangsweise führt aber dazu, dass der Administrator mitunter mit einer Fülle von Anfragen nach Zugriffsrechten konfrontiert ist, und deren Verwaltung Zeit und Mühe erfordert. Insbesondere in größeren Betrieben kann es bei diesem Zusammenspiel zwischen Benutzer, systembedingtem Zuständigkeitsbereich (z.B. Administrator) und fachlichem Zuständigkeitsbereich (z.B. Projektverantwortlicher) zu einem entsprechenden Koordinationsaufwand kommen. Ein technisch bedeutsames Problem besteht allerdings auch darin, dass der Administrator zwar die Verwaltung der Zugriffsrechte auf Daten vornimmt, mit den Daten selbst aber nicht vertraut ist. Das Wissen über die Art und die Bestimmung von Daten liegt vielmehr bei jenen, die Zugriffsrechte für Benutzer anfordern, also Verantwortliche für Unternehmensteile oder Projektverantwortliche, die im Folgenden auch als "Datenverantwortliche" bezeichnet werden. Der Datenverantwortliche ist daher auch viel besser damit vertraut, wer auf welche Daten über welchen Zeitraum zugreifen können muss, und welche Datenbereiche für bestimmte Personen geheim zu bleiben haben. Der Administrator verfügt hingegen nicht über dieses Detailwissen, was in der Praxis in einer erhöhten Fehleranfälligkeit resultiert.Such an approach, however, results in the administrator sometimes being confronted with a plethora of requests for access rights, the administration of which requires time and effort. Especially in larger companies, this interaction between the user, the system-related area of responsibility (for example, the administrator) and the area of responsibility (for example, the person responsible for the project) can lead to a corresponding coordination effort. A technically significant problem, however, is that while the administrator handles the management of access to data, he is not familiar with the data itself. On the contrary, the knowledge about the type and definition of data lies with those who request access rights for users, ie those responsible for parts of companies or project managers, which are also referred to below as "data controllers". The person responsible for the data is therefore much better acquainted with who has access to what data over which period, and which data areas have to remain secret for certain persons. The administrator, however, does not have this detailed knowledge, which in practice results in an increased susceptibility to errors.

Aus der Schrift WO 1996/17284 A2 ist ein Verfahren bekannt, welches zur Verbesserung betreffend die Zugriffsrechte in oder auf eine Datenbank mit einer Vielzahl an Benutzern dient. Dabei sind eine zentrale Administratorrolle sowie mehrere untergeordnete - so genannte Client-Administratorrollen vorgesehen, welche hierarchisch organisiert die jeweiligen Rechte für die jeweiligen Benutzer vergeben. Allerdings weist das in der Schrift WO 1996/17284 A2 ) beschriebene Verfahren den Nachteil auf, dass bei Abfrage von Daten durch eine Benutzer keine Benachrichtigung an jenen Datenverantwortlichen gesendet wird, welche für die abgefragten Daten zuständig ist, wodurch einerseits der Aufwand für die Vergabe der Zugriffsrechte und anderseits aber auch die Fehleranfälligkeit steigt.From the Scriptures WO 1996/17284 A2 a method is known which, for the improvement of the access rights in or to a database with a multitude of users. Here, a central administrator role and several subordinate - so-called client administrator roles are provided which hierarchically organized the respective rights for the respective user. However, this is indicated in Scripture WO 1996/17284 A2 ) described method has the disadvantage that when requesting data by a user no notification is sent to those data responsible, which is responsible for the queried data, which on the one hand, the cost of assigning the access rights and on the other hand, but also increases the error rate.

Die Schrift EP 1 122 629 A2 beschreibt allgemein ein Verfahren für eine Zugangskontrolle zu einer Speichereinrichtung, bei dem mehrere Gruppen, welche Zugang zur Speichereinrichtung haben, sowie mehrere Pools von Speichereinrichtungen definiert werden und dann für die jeweiligen Gruppen Zugriffsrechte auf die jeweiligen Pools von Speichereinrichtung bestimmt werden. Dabei wird aber auf unterschiedliche Rollen wie z.B. Administrator, Datenverantwortlicher, Benutzer, etc. nicht eingegangen.The font EP 1 122 629 A2 describes generally a method for access control to a storage device, in which a plurality of groups having access to the storage device and a plurality of pools of storage devices are defined and then access rights to the respective pools of storage device are determined for the respective groups. However, it does not deal with different roles such as administrator, data owner, user, etc.

Die Schriften DE 198 24 787 A1 und US 6,978,381 B1 offenbaren ebenfalls weitere Verfahren zur Vergabe von Zugriffsrechten auf Dateien und damit auf Daten. In der Schrift DE 198 24 787 A1 wird ein Verfahren zum abgesicherten Zugriff auf Daten in einem Netzwerk offenbart. Die Schrift US 6,978,381 B1 beschreibt ebenfalls ein Verfahren zur Kontrolle des Zugriffs von Benutzern auf eine Anzahl von Datenbanken, wobei die Zugriffsrechte anhand von durch einen Administrator verwalteten Profilen vergeben werden. In beiden Schriften werden aber unterschiedliche Rollen während der Vergabe von Zugriffsrechten wie z.B. Administrator, Datenverantwortlicher, Benutzer, etc. nicht unterschieden, wodurch wieder die Fehleranfälligkeit steigen kann.The writings DE 198 24 787 A1 and US Pat. No. 6,978,381 B1 also reveal other methods for granting access to files and thus to data. In Scripture DE 198 24 787 A1 discloses a method for secure access to data in a network. The font US Pat. No. 6,978,381 B1 also describes a method for controlling the access of users to a number of databases, the access rights being based on profiles managed by an administrator. In both writings but different roles during the assignment of access rights such as administrator, data controller, Users, etc. not distinguished, which again increase the susceptibility to errors.

Es ist daher das Ziel der Erfindung, die Vergabe von Zugriffsrechten auf Daten zu optimieren, um einerseits die Arbeitsabläufe zwischen Benutzer, Administrator und den Datenverantwortlichen effizienter und damit kostengünstiger zu gestalten, und andererseits die Fehleranfälligkeit der Allokation von Zugriffsrechten auf Daten zu reduzieren. Diese Ziele werden durch die Merkmale von Anspruch 1 erreicht.It is therefore the aim of the invention to optimize the allocation of access rights to data, on the one hand to make the workflows between user, administrator and the data controller more efficient and thus more cost-effective, and on the other hand to reduce the error rate of allocating access rights to data. These objects are achieved by the features of claim 1.

Anspruch 1 bezieht sich auf ein Verfahren zur Vergabe von Zugriffsrechten auf Daten, die in zumindest einem Datenspeicher gespeichert sind, und auf Anfrage eines mit dem Datenspeicher über ein Computernetzwerk verbundenen Benutzers in Abhängigkeit seines Zugriffsrechts ausgelesen und gegebenenfalls verändert werden können. Erfindungsgemäß ist hierbei vorgesehen, dass die Daten zumindest eine Datenteilmenge aufweisen, denen jeweils ein Datenverantwortlicher zugeordnet ist, und die Erteilung oder Ablehnung des Zugriffsrechtes bei Anfrage nach Daten aus einer Datenteilmenge durch den jeweils zugeordneten Datenverantwortlichen erfolgt. Die Anfrage eines Benutzers nach Daten erfolgt dabei über eine Identitäts- und Zugriffsverwaltungseinheit, in der für den jeweiligen Benutzer seine ihm zugeordneten Zugriffsrechte gespeichert sind, wobei die Identitäts- und Zugriffsverwaltungseinheit bei Anfrage nach Daten aus einer der Datenteilmengen eine elektronische Benachrichtigung an den der betreffenden Datenteilmenge zugeordneten Datenverantwortlichen sendet.Claim 1 relates to a method for assigning access rights to data which are stored in at least one data store and, on request of a user connected to the data store via a computer network, can be read out and possibly changed as a function of his access right. According to the invention, it is provided that the data has at least one data subset, to each of which a data controller is assigned, and the granting or rejecting of the access right occurs when requesting data from a data subset by the respectively assigned data controller. The request of a user for data is carried out via an identity and access management unit, in which for the respective user his assigned access rights are stored, the identity and access management unit upon request for data from one of the data subsets an electronic notification to the relevant data subset assigned data owner sends.

Der Datenverantwortliche ist mit der Art der Daten und ihrer Zuordnung zu bestimmten Benutzern am besten vertraut und weiß daher über deren Bestimmung und eventuelle Geheimhaltungsbedingungen am besten Bescheid. Das erhöht die Datensicherheit und die zielsichere Zuordnung von Zugriffsrechten. Gleichzeitig wird aber auch der Administrator entlastet, dessen Aufgaben auf die allgemeine Systembetreuung, auf die Vergabe von Zugriffsrechten auf Daten außerhalb der den Datenverantwortlichen zugeordneten Datenteilmengen und die Betreuung der Datenverantwortlichen selbst fokussiert werden können. Es wäre aber auch denkbar, im Rahmen der Erfindung hinsichtlich der Vergabe von Zugriffsrechten auf einen physischen Administrator zu verzichten, und die Vergabe von sonstigen Zugriffsrechten automatisiert zu administrieren.The data controller is most familiar with the nature of the data and its association with particular users, and therefore knows its purpose and potential Confidentiality conditions best. This increases the data security and the purposeful assignment of access rights. At the same time, however, the administrator, whose tasks can be focused on the general system support, on the allocation of access rights to data outside of the data responsible for data subsets and the care of the data controller itself can be relieved. It would also be conceivable within the scope of the invention to dispense with the allocation of access rights to a physical administrator, and to administer the allocation of other access rights automatically.

Durch das erfindungsgemäße Verfahren kann auch auf vorteilhafte Weise eine Benachrichtigung des betreffenden Datenverantwortlichen etwa in allen Fällen einer Datenanfrage erfolgen, oder nur in jenen Fällen, wo eine Anfrage Daten betrifft, für die der betreffende Benutzer noch keine Zugriffsrechte verfügt. Eine Möglichkeit der Benachrichtigung besteht etwa in Form einer e-mail, die von der Identitäts-und Zugriffsverwaltungseinheit automatisiert erstellt und versendet wird, und die dem entsprechenden Datenverantwortlichen etwa Informationen über den betreffenden Benutzer, seine zugeordneten Aufgaben, seine aktuellen Zugriffsrechte und seine Datenanfrage bereit stellt.By means of the method according to the invention, notification of the relevant data controller can also advantageously be effected in all cases of a data request, or only in those cases where a request concerns data for which the user in question does not yet have access rights. One possibility of the notification is in the form of an e-mail, for example, which is automatically created and sent by the identity and access management unit, and provides the relevant data controller with information about the user concerned, his assigned tasks, his current access rights and his data request ,

In weiterer Folge kann durch den betreffenden Datenverantwortlichen ein Zugriffsrecht erteilt oder verweigert werden, wobei etwa gemäß Anspruch 2 vorgesehen sein kann, dass die Erteilung oder Ablehnung des Zugriffsrechtes durch den Datenverantwortlichen durch Veränderung der für den jeweiligen Benutzer gespeicherten Zugriffsrechte in der Identitäts- und Zugriffsverwaltungseinheit erfolgt. Dadurch kann ein Verfahrensablauf sichergestellt werden, bei der etwa bei folgenden Anfragen desselben Benutzers keine Benachrichtigung des Verantwortlichen mehr erfolgt. Sein Zugriffsrecht ist vielmehr permanent erteilt. Alternativ kann auch vorgesehen sein, dass das erteilte Zugriffsrecht nur temporär vergeben wird, also nach Ablauf einer vorbestimmten Zeit wieder abläuft. Ein solcher Vorgang kann dabei durchaus auch automatisiert erfolgen, sodass nach Ablauf einer vorbestimmten Zeitdauer die Zugriffsrechte des betreffenden Benutzers wieder auf den Ausgangsstatus zurückgesetzt werden.Subsequently, an access right can be granted or denied by the relevant data controller, it being possible, for example, to provide for the issuing or rejection of the access right by the data controller by changing the access rights stored in the identity and access rights for the respective user Access management unit. As a result, a procedure can be ensured in which, for example, in the case of subsequent requests from the same user, no further notification is made to the responsible person. His right to access is permanently granted. Alternatively, it can also be provided that the granted access right is assigned only temporarily, ie expires after a predetermined time has elapsed. Such an operation may well be automated, so that after a predetermined period of time, the access rights of the user in question are reset to the initial status.

Des Weiteren kann gemäß Anspruch 3 nach Erteilung oder Ablehnung des Zugriffsrechtes durch den Datenverantwortlichen durch Veränderung der für den jeweiligen Benutzer gespeicherten Zugriffsrechte in der Identitäts- und Zugriffsverwaltungseinheit eine elektronische Benachrichtigung an den Benutzer erfolgen. Das kann wiederum per e-mail erfolgen, über die der Benutzer somit über erteilte oder entzogene Zugriffsrechte informiert wird.Furthermore, according to claim 3, after granting or denying the access right by the data controller, an electronic notification to the user may be made by modifying the access rights stored in the identity and access management unit for the respective user. This can in turn be done by e-mail, which informs the user about granted or revoked access rights.

Zur technischen Realisierung des erfindungsgemäßen Verfahrens kann gemäß Anspruch 4 vorgesehen sein, dass die Datenanfragen eines Benutzers sowie die Vergabe und der Ablehnung von Zugriffsrechten durch den Datenverantwortlichen über einen Web-Server erfolgen. Somit kann die Identitäts- und Zugriffsverwaltungseinheit über eine für den Benutzer und die Datenverantwortlichen gemeinsame Plattform erfolgen, auf die jeweils über ein Kommunikationsnetzwerk zugegriffen werden kann. Der Web-Server wird dabei zweckmäßiger Weise mit einem Mail-Server für den Austausch elektronischer Nachrichten verbunden sein, um etwa die elektronische Erstellung und Versendung von e-mails, sowie die Verwaltung gesendeter und empfangener e-mails zu ermöglichen.For the technical realization of the method according to the invention, it can be provided according to claim 4 that the data requests of a user as well as the assignment and the rejection of access rights are made by the data controller via a web server. Thus, the identity and access management unit may be via a common platform for the user and the data owners, each accessible via a communication network. The web server will be conveniently connected to a mail server for the exchange of electronic messages, for example, to allow the electronic creation and sending of e-mails, as well as the management of sent and received e-mails.

Die Erfindung wird im Folgenden anhand bevorzugter Ausführungsformen durch die beiliegenden Zeichnungen näher erläutert. Es zeigen hierbei die

  • Fig. 1 eine schematische Darstellung eines ersten Verfahrensschrittes, bei dem der Benutzer eine Anfrage nach Daten an die Identitäts- und Zugriffsverwaltungseinheit stellt,
  • Fig. 2 eine schematische Darstellung eines zweiten Verfahrensschrittes, bei dem die Identitäts- und Zugriffsverwaltungseinheit eine Benachrichtigung an den zuständigen Datenverantwortlichen sendet,
  • Fig. 3 eine schematische Darstellung eines dritten Verfahrensschrittes, bei dem der Datenverantwortliche entsprechende Änderungen der Zugriffsrechte für den betreffenden Benutzer in der Identitäts- und Zugriffsverwaltungseinheit vornimmt,
  • Fig. 4 eine schematische Darstellung eines vierten Verfahrensschrittes, bei dem der Benutzer eine Benachrichtigung von der Identitäts- und Zugriffsverwaltungseinheit über die veränderten Zugriffsrechte erhält, und die
  • Fig. 5 eine schematische Darstellung eines fünften Verfahrensschrittes, bei dem der Benutzer auf die nun freigegebenen Daten zugreifen kann.
The invention will be explained in more detail below with reference to preferred embodiments by the accompanying drawings. It show here the
  • 1 is a schematic representation of a first method step, in which the user makes a request for data to the identity and access management unit,
  • 2 shows a schematic representation of a second method step, in which the identity and access management unit sends a notification to the responsible data controller,
  • 3 shows a schematic representation of a third method step, in which the data controller makes corresponding changes to the access rights for the relevant user in the identity and access management unit,
  • 4 shows a schematic representation of a fourth method step in which the user receives a notification from the identity and access management unit about the changed access rights, and FIG
  • Fig. 5 is a schematic representation of a fifth method step in which the user can access the now shared data.

In den Fig. 1-5 ist eine Ausführungsform des erfindungsgemäßen Verfahrens als Web-Applikation dargestellt. Zentrales Element ist hierbei eine Identitäts- und Zugriffsverwaltungseinheit 3, auf die von einem Benutzer 2 über einen Web-Server zugegriffen werden kann. Die Identitäts- und Zugriffsverwaltungseinheit 3 enthält die Benutzerprofile, also Informationen über die beteiligten Benutzer 2 und den ihnen zugewiesenen Rollen in Gruppen von Benutzern 2, um anfragende Benutzer 2 zu identifizieren. Des Weiteren enthält die Identitäts- und Zugriffsverwaltungseinheit 3 Verwaltungsfunktionen ("Folder-Permission Management") für Zugriffsrechte der Benutzer 2, die Listen von Dateien des Datenspeichers 1, in denen die Daten D organisiert sind, bereithalten, sowie aktuelle Zugriffsrechte der Benutzer 2. Diese Verwaltungsfunktionen werden ferner auch Konfigurationsdateien enthalten, in denen etwa vorbestimmte Ablaufzeiten von Zugriffsrechten, die Bedingungen für das Versenden von Benachrichtigungen und weitere Systemeinstellungen festgelegt sind. Die Identitäts-und Zugriffsverwaltungseinheit 3 wird hierzu mit einem Mail-Server für das Versenden elektronischer Nachrichten verbunden sein. Des Weiteren können die Verwaltungsfunktionen auch automatisierte Funktionen für das Erstellen von Berichten über Datenanfragen sowie Veränderungen von Zugriffsrechten vorsehen. Die Identitäts- und Zugriffsverwaltungseinheit 3 kann ferner auch "User Directories" beinhalten, also Verzeichnisse über den Zugriff der Benutzer 2 auf die Identitäts- und Zugriffsverwaltungseinheit 3.FIGS. 1-5 show an embodiment of the method according to the invention as a web application. Central element here is an identity and Access management unit 3, which can be accessed by a user 2 via a web server. The identity and access management unit 3 contains the user profiles, that is information about the users 2 involved and the roles assigned to them in groups of users 2 in order to identify requesting users 2. Furthermore, the identity and access management unit 3 includes folder permissions management for user 2 access rights, keeping lists of files of the data memory 1 in which the data D is organized, as well as current access rights of the users 2. These Management functions will also include configuration files that specify, for example, predetermined expiration times, the conditions for sending notifications, and other system settings. The identity and access management unit 3 will for this purpose be connected to a mail server for sending electronic messages. In addition, the management features can also provide automated capabilities for reporting data requests and changing access rights. The identity and access management unit 3 may also include "user directories", ie directories about the access of the user 2 to the identity and access management unit 3.

Die Identitäts- und Zugriffsverwaltungseinheit 3 wird aber auch spezielle Funktionen für die Datenverantwortlichen V.i (i=1,2,...n) bereit halten, etwa Verzeichnisse über die Datenteilmengen D.i (i=1,2,...n), für die der betreffende Datenverantwortliche V.i über Vergaberechte von Zugriffsrechten verfügt, sowie Funktionen für das Einsehen vergebener Zugriffsrechte und deren Veränderung ("Group & Folder Management"). Dabei ist es vorteilhaft, wenn das erfindungsgemäße Verfahren in seiner technischen Verwirklichung möglichst bedienerfreundlich ausgeführt ist, also über eine leicht bedienbare Oberfläche etwa die entsprechenden Änderungen von Zugriffsrechten veranlasst werden können, und die hierfür notwendigen SystemEinstellungen z.B. im LDAP (Lightweight Directory Access Protocol) durch die Web-Applikation selbst vorgenommen werden.However, the identity and access management unit 3 will also have special functions for the data controllers Vi (i = 1,2,... N), such as directories about the data subsets Di (i = 1,2, the data controller in question Vi has rights to assign access rights, as well as functions for viewing granted access rights and their modification ("Group & Folder Management"). It is advantageous if the inventive method in its technical realization is designed to be as user-friendly, so can be made about an easy-to-use interface such as the corresponding changes of access rights, and necessary for this system settings eg in the LDAP (Lightweight Directory Access Protocol) are made by the Web application itself.

Der Ablauf des erfindungsgemäßen Verfahrens kann nun wie folgt erfolgen, wobei auch auf die Fig. 6 verwiesen wird, die in Anlehnung an eine EPK-Syntax ("Ereignisgesteuerte Prozesskette) gestaltet wurde. Hierbei bezeichnen die Felder mit dem Buchstaben "B" organisatorische Einheiten, also im vorliegenden Fall etwa die Benutzer 2, oder die Datenverantwortlichen V.i, die Felder mit dem Buchstaben "E" Ereignisse (Auslöser von Prozessen und deren Ergebnis), die Felder mit dem Buchstaben "P" Prozesse (Aktion nach einem auslösenden Ereignis), die Felder mit dem Buchstaben "S" apparative Systemteile, das Feld mit dem Buchstaben "I" das Startereignis für die dargestellte Prozesskette, und die Felder mit dem Buchstaben "O" ein Daten- oder Materialobjekt. Kreisrunde Felder ohne Textinhalt stellen logische Verknüpfungen dar, in der Fig. 6 ausschließlich "ODER"-Verknüpfungen.The procedure of the method according to the invention can now be carried out as follows, whereby reference is also made to FIG. 6, which was designed on the basis of an EPK syntax ("event-controlled process chain)." In this case, the fields with the letter "B" designate organizational units, So in the present case, for example, the users 2, or the data controllers Vi, the fields with the letter "E" events (triggers of processes and their result), the fields with the letter "P" processes (action after a triggering event), the Fields with the letter "S" apparative parts of the system, the field with the letter "I" the start event for the process chain shown, and the fields with the letter "O" a data or material object Circular fields without text content represent logical links, in FIG. 6 exclusively "OR" links.

Ein Benutzer 2 formuliert zunächst eine Anfrage nach Daten D des Datenspeichers 1, etwa unter Zuhilfenahme einer Eingabemaske auf einem Web-Server, die in weiterer Folge an die Identitäts- und Zugriffsverwaltungseinheit 3 gerichtet wird (Fig. 1). Mithilfe der oben beschriebenen Verwaltungsfunktionen beginnt die Identitäts- und Zugriffsverwaltungseinheit 3 mit der Verarbeitung der Anfrage. Insbesondere identifiziert sie den Benutzer 2 und überprüft seine Zugriffsrechte zu den angefragten Daten D, die z.B. der Datenteilmenge D.1 zugeordnet sind. Dabei kann in herkömmlicher Weise ein Task Manager eingesetzt werden, der die laufenden Programme bzw. Prozesse überwacht und mithilfe einer Logdatei protokolliert. Der Task Manager kann diese Funktionen dabei auch in Zusammenwirken mit einem herkömmlichen Mail Manager ausüben.A user 2 initially formulates a request for data D of the data memory 1, for example with the aid of an input mask on a web server, which is subsequently directed to the identity and access management unit 3 (FIG. 1). Using the above-described management functions, the identity and access management unit 3 starts processing the request. In particular, it identifies the user 2 and checks its access rights to the requested data D, for example, the data subset D.1 are assigned. In this case, a task manager can be used in a conventional manner, which monitors the running programs or processes and logs them using a log file. The Task Manager can also perform these functions in cooperation with a conventional Mail Manager.

Im Falle einer fehlenden Zugriffsberechtigung ermittelt die Identitäts- und Zugriffsverwaltungseinheit 3 den für die Datenteilmenge D.1 zuständigen Datenverantwortlichen V.1, und veranlasst eine automatisierte Erstellung einer elektronischen Benachrichtigung an den Datenverantwortlichen V.1, die etwa Informationen über den anfragenden Benutzer 2 und den ihnen zugewiesenen Rollen in Gruppen von Benutzern 2, sowie die angefragten Daten D enthält (Fig. 2). Der Datenverantwortliche V.1 entscheidet nun über die Vergabe entsprechender Zugriffsrechte auf die angefragten Daten D, und nimmt gegebenenfalls entsprechende Änderungen der Zugriffsrechte für den betreffenden Benutzer 2 in der Identitäts- und Zugriffsverwaltungseinheit 3 vor (Fig. 3).In the event of a lack of access authorization, the identity and access management unit 3 determines the data responsible person responsible for the data subset D.1 V.1, and causes an automated creation of an electronic notification to the data controller V.1, about information about the requesting user 2 and the their assigned roles in groups of users 2, as well as the requested data D (FIG. 2). The person responsible for data V.1 now decides on the assignment of corresponding access rights to the requested data D, and if necessary makes corresponding changes to the access rights for the relevant user 2 in the identity and access management unit 3 (FIG. 3).

Für den Fall einer Ablehnung von Zugriffsrechten kann eine Rückfrage-Funktion vorgesehen sein, mit der die Identitäts-und Zugriffsverwaltungseinheit 3 zur Bestätigung und eventuell Begründung der Ablehnung auffordert. Ein Task Manager kann wiederum diesen Ablauf überwachen und entsprechend protokollieren. Auch die Erteilung von Zugriffsrechten durch den Datenverantwortlichen V.1 und deren Zuteilung durch die Identitäts- und Zugriffsverwaltungseinheit 3 wird zweckmäßiger Weise von einem Task Manager überwacht und protokolliert.In the event of a denial of access rights, a query function can be provided, with which the identity and access management unit 3 requests confirmation and possibly justification of the rejection. A task manager can in turn monitor this process and log accordingly. The granting of access rights by the data controller V.1 and their allocation by the identity and access management unit 3 is expediently monitored and logged by a task manager.

Die Identitäts- und Zugriffsverwaltungseinheit 3 stellt die Änderung von Zugriffsrechten für den Benutzer 2 fest, aktualisiert die entsprechenden Einstellungen im Folder-Permission Management und dem User Directory, und veranlasst in weiterer Folge die Erstellung einer elektronischen Benachrichtigung an den Benutzer 2, in der er über seine aktualisierten Zugriffsrechte informiert wird. Die Benachrichtigung des Benutzers 2 mitsamt entsprechender Begründung wird sowohl bei Erteilung eines Zugriffsrechtes, als auch bei Ablehnung eines Zugriffsrechtes zweckmäßig sein. Im Falle einer Erteilung des Zugriffsrechtes ist der Benutzer 2 nun autorisiert, auf die angefragten Daten D zuzugreifen (Fig. 5), wobei die Daten D des Datenspeichers 1 zweckmäßiger Weise auf einem File-Server abgelegt sein werden. Seine Autorisierung kann dabei permanent erteilt worden sein, oder auch nur temporär, also nach Ablauf einer vorbestimmten Zeit wieder ablaufen.The identity and access management unit 3 determines the change of access rights for the user 2, updates the corresponding settings in the folder permission management and the user directory, and subsequently causes the creation of an electronic notification to the user 2, in which he his updated access rights will be informed. The notification of the user 2 together with the corresponding justification will be expedient both when granting an access right and when refusing an access right. In the case of a granting of the access right, the user 2 is now authorized to access the requested data D (FIG. 5), wherein the data D of the data memory 1 will expediently be stored on a file server. His authorization may have been issued permanently, or only temporarily, so after a predetermined time expire again.

Mithilfe des erfindungsgemäßen Verfahrens wird somit erreicht, dass die Vergabe von Zugriffsrechten auf Daten D optimiert wird, wodurch einerseits die Arbeitsabläufe zwischen Benutzer 2, Administrator und den Datenverantwortlichen V.i effizienter und damit kostengünstiger gestaltet werden, und andererseits die Fehleranfälligkeit der Allokation von Zugriffsrechten auf Daten D reduziert wird.By means of the method according to the invention, it is thus achieved that the assignment of access rights to data D is optimized, whereby on the one hand the workflows between user 2, administrator and data manager Vi are made more efficient and thus more cost-effective, and on the other hand the error susceptibility of allocating access rights to data D is reduced.

Claims (4)

Verfahren zur Vergabe von Zugriffsrechten auf Daten (D), die in zumindest einem Datenspeicher (1) gespeichert sind, und auf Anfrage eines mit dem Datenspeicher (1) über ein Computernetzwerk verbundenen Benutzers (2) in Abhängigkeit seines Zugriffsrechts ausgelesen und gegebenenfalls verändert werden können, wobei die Daten (D) zumindest eine Datenteilmenge (D.i, i=1,2...n) aufweisen, denen jeweils ein Datenverantwortlicher (V.i, i=1,2...n) zugeordnet ist, und die Erteilung oder die Ablehnung des Zugriffsrechtes bei Anfrage nach Daten (D) aus einer Datenteilmenge (D.i) durch den jeweils zugeordneten Datenverantwortlichen (V.i) erfolgt, dadurch gekennzeichnet, dass die Anfrage eines Benutzers (2) nach Daten (D) über eine Identitäts- und Zugriffsverwaltungseinheit (3) erfolgt, in der für den jeweiligen Benutzer (2) seine ihm zugeordneten Zugriffsrechte gespeichert sind, wobei die Identitäts-und Zugriffsverwaltungseinheit (3) bei Anfrage nach Daten (D) aus einer der Datenteilmengen (D.i) eine elektronische Benachrichtigung an den der betreffenden Datenteilmenge (D.i) zugeordneten Datenverantwortlichen (V.i) sendet.Method for assigning access rights to data (D) which are stored in at least one data memory (1) and can be read out on request of a user (2) connected to the data memory (1) via a computer network in dependence on his access right and if necessary be changed , wherein the data (D) at least one data subset (Di, i = 1,2 ... n), each of which a data responsible person (Vi, i = 1,2 ... n) is assigned, and the issuing or the Rejection of the access right for request for data (D) from a data subset (Di) by the respectively associated data responsible (Vi), characterized in that the request of a user (2) for data (D) via an identity and access management unit (3 ), in which for the respective user (2) his assigned access rights are stored, wherein the identity and access management unit (3) upon request for data (D) from one of the data subsets (Di ) sends an electronic notification to the respective data subset (Di) associated data controller (Vi). Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Erteilung oder die Ablehnung des Zugriffsrechtes durch den Datenverantwortlichen (V.i) durch Veränderung der für den jeweiligen Benutzer (2) gespeicherten Zugriffsrechte in der Identitäts- und Zugriffsverwaltungseinheit (3) erfolgt.A method according to claim 1, characterized in that the granting or rejection of the access right by the data controller (Vi) by changing the access rights stored for the respective user (2) in the identity and access management unit (3). Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass nach Erteilung oder Ablehnung des Zugriffsrechtes durch den Datenverantwortlichen (V.i) durch Veränderung der für den jeweiligen Benutzer (2) gespeicherten Zugriffsrechte in der Identitäts- und Zugriffsverwaltungseinheit (3) eine elektronische Benachrichtigung an den Benutzer (2) erfolgt.A method according to claim 2, characterized in that after issuance or rejection of the access right by the data controller (Vi) by changing the access rights stored for the respective user (2) in the identity and access management unit (3) an electronic notification to the user (2 ) he follows. Verfahren nach einem der Ansprüche 2 bis 3, dadurch gekennzeichnet, dass die Datenanfragen eines Benutzers (2) sowie die Vergabe und Ablehnung von Zugriffsrechten durch den Datenverantwortlichen (V.i) über einen Web-Server erfolgen.Method according to one of claims 2 to 3, characterized in that the data requests of a user (2) and the assignment and rejection of access rights by the data controller (Vi) via a web server.
EP07118706A 2006-11-10 2007-10-17 Method for granting data access permissions Withdrawn EP1923810A3 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
AT18622006A AT504141B1 (en) 2006-11-10 2006-11-10 Access authorization allocating method, involves implementing granting or denying of access authorization to data, and transmitting electronic notification e.g. electronic mail, to data owner, by identity and access management unit

Publications (2)

Publication Number Publication Date
EP1923810A2 true EP1923810A2 (en) 2008-05-21
EP1923810A3 EP1923810A3 (en) 2008-12-03

Family

ID=39154319

Family Applications (1)

Application Number Title Priority Date Filing Date
EP07118706A Withdrawn EP1923810A3 (en) 2006-11-10 2007-10-17 Method for granting data access permissions

Country Status (2)

Country Link
EP (1) EP1923810A3 (en)
AT (1) AT504141B1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2012220A2 (en) 2000-04-14 2009-01-07 Picsel (Research) Ltd. User interfaces and methods for manipulating and viewing digital documents
CN112528249A (en) * 2020-12-18 2021-03-19 杭州立思辰安科科技有限公司 Authority management method and device suitable for network security management platform
US20220179976A1 (en) * 2020-12-03 2022-06-09 Capital One Services, Llc Systems and methods for processing requests for access
US11972003B2 (en) * 2020-12-03 2024-04-30 Capital One Services, Llc Systems and methods for processing requests for access

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1996017284A2 (en) * 1994-11-29 1996-06-06 Telia Ab Improvements concerning access rights in or to data bases
DE19824787A1 (en) * 1998-06-03 1999-12-16 Paul Pere Procedure for secure access to data in a network
EP1122629A2 (en) * 2000-02-07 2001-08-08 Emc Corporation Controlling access to a storage device
US20020161766A1 (en) * 2001-04-26 2002-10-31 Lawson Robert James System and method for managing user profiles
US6978381B1 (en) * 1999-10-26 2005-12-20 International Business Machines Corporation Enhancement to a system for automated generation of file access control system commands

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1996017284A2 (en) * 1994-11-29 1996-06-06 Telia Ab Improvements concerning access rights in or to data bases
DE19824787A1 (en) * 1998-06-03 1999-12-16 Paul Pere Procedure for secure access to data in a network
US6978381B1 (en) * 1999-10-26 2005-12-20 International Business Machines Corporation Enhancement to a system for automated generation of file access control system commands
EP1122629A2 (en) * 2000-02-07 2001-08-08 Emc Corporation Controlling access to a storage device
US20020161766A1 (en) * 2001-04-26 2002-10-31 Lawson Robert James System and method for managing user profiles

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2012220A2 (en) 2000-04-14 2009-01-07 Picsel (Research) Ltd. User interfaces and methods for manipulating and viewing digital documents
US20220179976A1 (en) * 2020-12-03 2022-06-09 Capital One Services, Llc Systems and methods for processing requests for access
US11972003B2 (en) * 2020-12-03 2024-04-30 Capital One Services, Llc Systems and methods for processing requests for access
CN112528249A (en) * 2020-12-18 2021-03-19 杭州立思辰安科科技有限公司 Authority management method and device suitable for network security management platform

Also Published As

Publication number Publication date
AT504141A4 (en) 2008-03-15
AT504141B1 (en) 2008-03-15
EP1923810A3 (en) 2008-12-03

Similar Documents

Publication Publication Date Title
DE69832946T2 (en) Distributed system and method for controlling access to wetting means and event messages
DE19838055B4 (en) Communication system and method for associating users with communication groups
DE102020133597A1 (en) PERSONNEL PROFILES AND FINGERPRINT AUTHENTICATION FOR CONFIGURATION ENGINEERING AND RUNTIME APPLICATIONS
WO2011032895A1 (en) Method and system for using temporary exclusive blocks for parallel accesses to operating means
EP3471068A1 (en) Distributed system for managing personal information, method and computer program product
EP1300792A2 (en) Computer based method and system for monitoring the use of licenses
EP1298515A2 (en) Method for controlling access to resources of a data processing system
AT504141B1 (en) Access authorization allocating method, involves implementing granting or denying of access authorization to data, and transmitting electronic notification e.g. electronic mail, to data owner, by identity and access management unit
EP1010052B1 (en) Method for controlling distribution and use of software products with network-connected computers
DE102004047146A1 (en) rights management
EP1658705B1 (en) Provision of presence data allocated to the user of a communication service
EP2639729A2 (en) Automatic access control system for controlling access to a physical object or access to a physical object and method
EP3355141B1 (en) Operator system for a process control system
WO2016120135A1 (en) Device and method for dynamically adapting the access of a client to a server
WO2022069657A1 (en) Method for operating a network, and computer program product
EP1658704B1 (en) Update of presence data allocated to the user of a communication service
EP1561172B1 (en) Device for provision of access to data
WO2007118891A1 (en) A method for restricting access to data of group members and group management computers
BE1030391B1 (en) Service provider-customer communication system with central data storage and management, integrated synchronized time recording system and local terminals
EP1768048A2 (en) System for identification and allocation of usage rights in a data processing device
EP1685472A1 (en) Method for accessing a data processing system
DE102017123671B4 (en) System and procedure for managing personal data
WO2021043572A1 (en) Method for logging into an account
DE60300964T2 (en) Generation of user-specific settings data
DE102020215817A1 (en) Method and device for managing a service in a decentralized transaction system

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC MT NL PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA HR MK RS

PUAL Search report despatched

Free format text: ORIGINAL CODE: 0009013

AK Designated contracting states

Kind code of ref document: A3

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC MT NL PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA HR MK RS

AKX Designation fees paid
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20090604

REG Reference to a national code

Ref country code: DE

Ref legal event code: 8566